Mit dem Virtual Reality-Spiel The Social Engineer waren Studierende der Universität Ulm für den Deutschen Computerspielpreis 2021 in der Kategorie Nachwuchspreis nominiert. Ziel des Serious Games ist es, für operational security zu sensibilisieren.
Social Engineers spionieren das persönliche Umfeld eines Opfers aus oder täuschen Identitäten vor, um an geheime Informationen und sensible Daten zu gelangen. Im gleichnamigen Computerspiel wird der User zu einem solchen Agenten und muss an Design-Entwürfe und Finanzdaten eines fiktiven Unternehmens kommen. Dafür sind realistischerweise meist keine ausgefeilten Hackerkenntnisse notwendig. Im Spiel muss beispielsweise ein Müllcontainer nach entsorgten Dokumenten durchsucht oder ein mit Computerviren infizierter USB-Stick an einem frei zugänglichen Computer gesteckt werden. Die Studierenden der Uni Ulm setzen bei The Social Engineer auf Virtual Reality-Technik, mit der sich die Spielerinnen und Spieler frei in der simulierten Welt bewegen und mit Gegenständen oder virtuellen Charakteren interagieren können.
„Das Ziel unseres Serious Games ist es, das Wissen um die verschiedenen Arten von Social Engineering-Attacken auf spielerische und realistische Weise zu vermitteln“, erklären die Entwickler Fabian Fischbach und Pascal Jansen. Die Medieninformatikstudenten haben das Spiel im Rahmen des Master-Projekts User-Centered Design for Interactive Systems der Forschungsgruppe Mensch-Computer-Interaktion gestaltet und programmiert. Später stieß Wirtschaftsmathematikstudent Daniel Hirschle zum Team. Insgesamt dreizehn Monate Arbeitszeit hat die studentische Projektgruppe in die Entwicklung des Spiels investiert. Die Spielidee und das Konzept kamen von den Studenten selbst. Betreut wurden sie von Professor Enrico Rukzio und Tobias Drey, Mitglieder der Forschungsgruppe Mensch-Computer-Interaktion, sowie vom ehemaligen Institutsmitarbeitern Dr. Julian Frommel, Forschungsgruppe Pervasive Benutzerschnittstellen.
„Die Gefahren von Social Engineering werden in vielen Bereichen noch immer unterschätzt. Laut des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien war im Jahr 2019 bereits mehr als jedes fünfte Unternehmen in Deutschland von solchen Angriffen betroffen. Das fehlende Bewusstsein von Mitarbeitenden für ‚Social Engineering‘-Attacken führt allzu oft dazu, dass der Angriff auch gelingt“, betont der Medieninformatiker Rukzio. Damit die im Spiel enthaltenen Angriffswege möglichst realitätsnah wirken, wurden diese in Zusammenarbeit mit der Ulmer IT-Sicherheitsfirma Schutzwerk entwickelt.
Die Praxisnähe und das gleichzeitig spaßbringende „Sich-vertraut-machen“ mit den Schwachstellen in jeder Sicherheitskette überzeugte auch die Fachjury des Deutschen Computerspielpreises, sodass sie den Prototyp „The Social Engineer“ für die Auszeichnung nominierte. „Künftige Anwendungsmöglichkeiten sowohl im Gaming als auch im Serious-Learning-Bereich beflügeln die Fantasie für eine mögliche, auch kommerzielle, Weiterentwicklung des Projekts“, heißt es in der Beschreibung auf der Homepage.
Die Nominierung ist mit 25 000 Euro für eine Weiterentwicklung dotiert.
Das Institut für Medieninformatik gratuliert herzlich!
Veröffentlichung zum Thema:
Pascal Jansen, Fabian Fischbach (2020)
The Social Engineer: An Immersive Virtual Reality Educational Game to Raise Social Engineering Awareness
Link DOI
T. Drey, P. Jansen, F. Fischbach, J. Frommel and E. Rukzio (2020)
Towards Progress Assessment for Adaptive Hints in Educational Virtual Reality Games
In: Extended Abstracts of CHI 2020 (SIGCHI Conference on Human Factors in Computing Systems), Apr. 2020. ACM.
Link DOI, Dokument
Berichterstattung in den Medien:
Interview mit P. Jansen, RegioTV, 16. April 2021 (Link zum Bericht des Fernsesenders)